<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Warren Selby wrote:

<blockquote

 cite="mid:e7f1293f1002101107v1e4e3c81l16580f5c3e792c71@mail.gmail.com"

 type="cite">

  <div class="gmail_quote">On Tue, Feb 9, 2010 at 5:54 PM, Lyle Giese <span

 dir="ltr">&lt;<a moz-do-not-send="true"

 href="mailto:lyle@lcrcomputer.net">lyle@lcrcomputer.net</a>&gt;</span>

wrote:<br>

  <blockquote class="gmail_quote"

 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

    <div>Here's a start for you, just run from cron once a day:<br>

    </div>

    <br>

Lyle<br>

  </blockquote>

  </div>

  <br>

So basically, nothing built into asterisk that already provides

security logging mechanisms?&nbsp; Maybe I'm using the wrong term; In

Windows, I think it would be called Security Auditing, successful /

unsuccessful login attempts that get recorded in the Windows Event

Viewer in the security log.&nbsp; These login attempts (whether successful

or not) are recorded, and you get the IP address of the workstation

attempting the login, the username used, and whether or not it was

successful.&nbsp; A log dedicated just to security auditing (or a new option

in /etc/logger.conf that adds this functionality (say, messages =&gt;

notice,warning,error,verbose,security) seems like it would be a nice

addition to asterisk.<br>

  <br>

I've already got tools that can monitor log files and create bans based

on failed login attempts...but I don't always seem to see login

failures in the asterisk messages log.&nbsp; <br>

  <br>

I recall from Astricon 2009, Russel and Kevin (I think) commenting on

security features in asterisk and not sure how much to include (i.e

automatically banning people based on failed login attempts being a

process asterisk controls or just simply logs so that another tool can

do the banning, etc).&nbsp; I just don't remember if there was any followup

to those discussions.<br clear="all">

  <br>

-- <br>

Thanks,<br>

--Warren Selby<br>

  <a moz-do-not-send="true" href="http://www.selbytech.com">http://www.selbytech.com</a><br>

</blockquote>

<br>

I think that is the problem.&nbsp; Nobody can agree on how it should be

implemented.&nbsp; So just log the events and the user/admin find and use a

log analyzer or build your own tools for those that want/need such.<br>

<br>

Lyle<br>

<br>

<br>

<br>

</body>

</html>